淺談油田內網安全管理

寧曉波

［摘要］ 隨著風城油田作業區網絡規模的擴大和網絡應用范圍的擴展，轉網絡運維與安全管理工作已成為保障、促進油田發展建設的戰略性工作。網絡安全管理的目標，已從單純的維護網絡運行暢通轉變為提高服務能力，保障信息系統可用性、連續性、安全性，將人、技術、管理等有機結合起來，形成技術有保障、管理有章法、人員守流程的綜合保障體系。

［關鍵詞］ 內網；安全管理；終端；控制

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 13. 030

［中圖分類號］ TP393.1［文獻標識碼］A［文章編號］1673 - 0194（2014）13- 0044- 02

１前言

近年來，網絡安全事件頻頻發生，人們對外部網絡入侵和Ｉｎｔｅｒｎｅｔ的安全性日益重視，但來自內部網絡的攻擊卻有愈演愈烈之勢，內網安全成為企業管理的隱患。信息資料被非法泄露、拷貝、篡改，往往給各行業企事業單位造成重大損失。而如何使內部網絡始終在安全、可靠、保密的環境下運行，幫助企業各類業務統一優化、規范管理，保障各類業務系統正常安全運行等一系列問題一直困擾著企事業單位的ＩＴ部門。

針對這些問題，風城油田作業區信息管理部門建立了一套由技術體系與管理體系構成的信息安全體系。通過技術體系加強網絡管理力度、豐富網絡管理手段、降低網絡運維管理成本。通過管理體系提高員工網絡安全風險防范意識。

２風城油田作業區網絡概況

風城油田作業區下轄夏子街油田、風城油田及烏爾禾油田，作業區管轄面積１５３平方千米，戰線達百余千米。作業區擁有的兩大生產辦公網絡匯聚點，分布在克拉瑪依市機關、烏爾禾前線基地辦公樓，地理位置最遠相距１７０多千米。目前，作業區共有１０個獨立辦公地點，各類交換機６０余臺，ＰＣ終端千余臺。

作業區網絡具有接入點多、分布面廣等特點，隨著作業區的網絡應用日益增多，信息管理部門應有效地進行網絡資源管理，為作業區的信息化、自動化建設保駕護航，確保生產的正常進行。

隨著風城油田作業區網絡規模的擴大和網絡應用范圍的擴展，如何使內部網絡始終處于安全、可靠、保密的環境下運行，幫助作業區各類業務統一優化、規范管理，保障各類業務系統正常安全運行是目前作業區網絡管理一大難題。根據作業區實際情況，信息管理部門將管理、技術和策略有機結合，構建了一套信息安全體系（如圖１所示）。

３風城油田作業區網絡管理

根據油田網絡管理現狀，我們在加強技術防護手段的同時，整體規劃，運用內網安全管理及補丁分發系統加強桌面計算機終端管理力度，通過劃分網絡安全域明確網絡邊界，加強網絡安全防護與管理，利用交換機聚合技術提高網絡傳輸能力，降低網絡運維管理成本，同時，完善網絡安全管理制度與流程，將人，技術、管理有機結合，提高網絡整體抗風險能力，為作業區建設信息化、自動化油田打造一個堅實、穩定、高效的網絡平臺。

３．１ 劃分內部各子網安全域，明確各內部網絡邊界

作業區下屬單位數量繁多，按業務類型與辦公區域劃分網絡安全域，有利于構筑企業內網安全基礎。根據實際情況，我們通過邏輯劃分ＶＬＡＮ和物理隔離兩種方式將網絡劃分為辦公域、接入域、服務（計算）域、管理域（運維與管理的主要區域）和自動化生產域，不同的業務部門采用不同級別的安全防護機制，如采用三層交換機，建立ＶＬＡＮ，使用防火墻、隔離網閘等（見圖２）。

在服務（計算）域部署各類服務器，在上游設立防火墻，部署網絡安全策略，對處于不同安全級別域的用戶訪問進行審查控制。在自動化生產域，我們采用物理隔離方式在自動化專網上游部署隔離網閘，隔離自動化專網與辦公網絡。網閘的安全性體現在鏈路層斷開，直接處理應用層數據，對應用層數據進行內容檢查和控制，在網絡之間交換的數據都是應用層的數據。

３．２ 運用內網安全管理及補丁分發系統加強網絡終端管理力度

內網是網絡應用中的一個主要組成部分，其安全性也受到越來越多的重視。風城油田作業區辦公網絡作為新疆油田公司下級網絡構成，它的安全與否直接決定了新疆油田公司整體網絡安全級別。經調查分析，企業內網主要面臨的安全威脅有如下幾條：

（１）資產管理失控：網絡中終端用戶隨意增減調換終端硬件配備、操作系統等。

（２）網絡資源濫用：ＩＰ地址、流量濫用，影響網絡正常使用。

（３）病毒蠕蟲入侵：導致網絡阻塞、數據損壞丟失，而且無法找到災難的源頭以迅速采取隔離等處理措施，從而為正常業務帶來災難性的持續的影響。

（４）重要信息泄密：因系統漏洞、病毒入侵、非法接入、非法外聯、網絡濫用、外設濫用等各種原因與管理不善導致組織內部重要信息泄露或毀滅，造成不可彌補的重大損失。

（５）補丁管理混亂：終端用戶不及時打補丁，從而為蠕蟲與黑客入侵保留了通道。

針對常見內網隱患，風城油田作業區信息檔案管理站利用油田公司部署的內網安全管理及補丁分發系統（ＶＲＶ ＥＤＰ）管理工具對作業區網絡客戶端進行定時檢查與梳理，采用檢查客戶端安裝補丁情況、核實硬件變更情況等檢查手段（如圖3所示），有效降低了內網安全風險級別。

３．３ 建立信息安全管理體系

嚴密、完整的管理體制，不但可以在確保信息安全的前提下最大限度實現信息資源共享，而且可以彌補技術性安全管理體系的部分弱點。管理體系的建立和實施能為網絡的管理和長期監控提供理論指導。管理體系可分為法律、制度和培訓3部分。

與安全有關的法律法規是保障信息系統安全的最高行為準則，是制定管理制度的參考標準。依照安全需求制定一系列內部規章制度，從責任、人員、部位、行為等多方面對需要保護什么、為什么需要保護以及怎樣保護涉密信息系統的安全做出具體規定，并通過全面推行，使之貫穿到日常具體工作當中。風城油田作業區成立了計算機兼職管理員小組進行安全培訓。培訓的內容包括法律法規、內部制度、安全意識和與崗位相關的重點安全防范技能等。提高了各科室單位與前線基層單位員工的計算機基礎知識與網絡安全知識水平，使員工能主動規避各類違規行為，從而減少了網絡安全隱患。

４結束語

一種管理體系的建立涉及管理理念、管理模式的變革，信息安全體系在風城油田作業區的推廣應用，既是對作業區網絡安全管理工作的加強，也有益于對用戶網絡行為的引導和規范。從實際推廣效果看， 風城作業區內網管理模式適合作業區現狀， 減少了網絡安全方面的威脅， 提升了計算機網絡的安全等級。

筆者認為，要真正確保計算機網絡及其相關信息的安全， 除了采取一些必要的技術手段外， 最重要的是信息安全管理體系的建立和實施。只有建立并切實實施信息安全管理體系，人、技術、管理等多方面手段多管齊下，調動各方積極性，引起領導重視，明確三方責任，使網絡安全管理日常化、常態化，才能真正保障內網安全。

主要參考文獻

［１］曾朝蓉.內網安全管理方案探討［J］.網絡安全技術與應用，２００９（１１）．

［２］甄保社．解放軍醫學圖書館內網安全管理系統［Ｊ］．中華醫學圖書情報雜志，２００９，１８（２）．

［３］蔣蘋．計算機信息系統安全體系設計［Ｊ］．計算機工程與科學，2003，25（1）.